Уязвимость в системе Solana устранена: командам удалось предотвратить взлом

На фоне последнего инцидента с уязвимостью в сети Solana, команды Solana Foundation и Jito оперативно провели работу по устранению проблемы, которая могла бы угрожать безопасности сети. Загвоздка была обнаружена специалистами компании Anza и касалась программы доказательств нулевого знания (ZK), в частности реализации ElGamal. Важным аспектом проблемы была связь с конфиденциальными токенами, выпущенными по программе Token-2022.

Суть обнаруженной ошибки заключалась в том, что ряд алгебраических компонентов не включались в хеш при преобразовании по схеме Фиата-Шамира. Это позволяло опытным злоумышленникам генерировать поддельные доказательства, что, в свою очередь, открывало возможность для несанкционированного выпуска неограниченного количества токенов и их снятия с любых счетов.

Специалисты выявили уязвимость 16 апреля, и уже на следующий день было выпущено исправление. Однако для более глубокой проблемы в другой части кодовой базы потребовалось внести дополнительное исправление. В результате, к вечеру 18 апреля большинство операторов узлов уже обновили свои программные обеспечения.

"Ошибка ограничивалась реализацией ZK ElGamal Proof, поэтому обновления для программы Token-2022 не потребовались. Все средства пользователей в безопасности, и на текущий момент нет известных эксплойтов этой уязвимости", — прокомментировала ситуацию команда Solana Foundation.

Тем не менее, некоторые участники сообщества выразили обеспокоенность по поводу того, что решение проблемы было принято без широкой огласки, согласно договоренности с более чем 70% валидаторов. Это усугубляет существующие опасения о возможности создания "нулевого дня", в то время как средства и данных пользователей остаются под угрозой.

Один из комментаторов отметил, что это напоминает ситуацию, когда на Ethereum также достигался консенсус в 70% среди валидаторов таких крупных организаций, как Lido, Binance, Coinbase и Kraken.

В ответ на критику сооснователь Solana Анатолий Яковенко подчеркнул готовность команды координировать действия с другими проектами, если возникнет необходимость в выпуске патчей для обеспечения безопасности.

Кроме того, в конце апреля Solana Foundation анонсировала новые меры по улучшению децентрализации сети. На текущий момент в сети Solana функционирует 1218 активных валидаторов, что значительно меньше, чем количество нод в Ethereum, где их насчитывается 17 126. Важно отметить, что на текущий момент 65% от общего количества SOL заблокированы в стейкинге, что существенно превышает аналогичный показатель для Ethereum, где он составляет 28%.